计算机网络安全技术PPT课件.ppt

计算机网络安全技术,第九章,网络安全,第一节 计算机网络安全的概念,计算机网络的几个概念： 多机系统 终端型网络 计算机局域网络 计算机广域网络 国际互联网络（英特网）Internet,网络安全,第一节 计算机网络安全的概念,开放的、分布式协同计算环境中，原有的安全措施很难奏效（ 特别是以后的Computing Grid环境，问题更多）结构松散，异地分散，无法有效管理用户透明，资源共享，面临多种攻击网络系统规模日益庞大，必然导致系统安全性、可靠性降低设计缺陷，给安全带来影响无法消除，如操作系统的管理员权限，TCP/IP协议等软件的可靠性有限，存在缺陷和后门，给攻击者机会,网络安全的面临挑战,系统复杂带来的安全问题,系统和网络的复杂性Internet跨越无数组织和国家，网络互连设备和通信介质多种多样连接在Internet上的计算机和操作系统种类繁多很难从根本上解决全部安全问题,系统设计带来的安全问题,系统设计中的缺陷操作系统、网络协议和应用系统的设计中都或多或少的存在缺陷早期的系统设计中对安全问题考虑较少、缺乏足够的安全知识和经验、没有形成严密的安全体系，随着网络的不断庞大，很难从根本上完全消除这些缺陷,系统实现带来的安全问题,系统实现中的缺陷即使在系统设计中考虑周全，也可能出现对设计的理解上不一致，使得实现的系统并不是设计时所想象的系统，在实现细节上考虑不周系统实现中的缺陷还往往出现在程序的错误上，由于时间所限，加之测试工具限制，许多系统未经充分测试就投入运行,系统管理带来的安全问题,即使在系统设计和系统实现过程中都较好地避免缺陷存在，但是系统管理员和安全员是否正确地安装、配置了系统？是否做好有效的安全隔离？是否清楚信任主机的安全状况？是否定期检查重要系统文件？其它,著名的例子：蠕虫病毒,Internet蠕虫Robert T. Morris编写的一组C语言程序，它能通过网络传输和繁殖，导致计算机速度减慢并停机1988年10月25日，Morris使用Guesses程序在Cornell和Standford上搜索到336个口令1988年10月29日， Morris已经发现435个可以用来进入网络的口令,蠕虫扩散的经过,1988年11月2日下午5点，Worm进入Cornell大学的计算机中，几小时之内，就传播到Berkeley，Harvard，MIT，Princeton，Purdue，Standford等大学以及NASA研究中心等几百个其它研究中心1988年11月2日晚上10点，Lawrence Livermore国家实验室800台计算机的网络感染Worm。Morris试图通过Internet发出一个告警信息，但大学的计算机系统已经瘫痪。几小时之内，全国范围内的6000多台机器受到了感染,蠕虫的技术攻击特点,漏洞：通过精心设计的邮件给sendmail系统，可以强制sendmail以超级用户的权限执行命令；可以确定远程主机操作系统信息、以及可运行的程序。缓冲溢出：利用finger可以看到系统中的敏感信息；由于系统调用get()时不检查参数的长度，用户控制下出现缓冲区溢出；如果熟悉操作系统，可以在遇到缓冲区溢出时转而执行另一程序（如Shell，成为root用户）,网络安全,一、网络计算引起的革命和问题 “网络就是计算机”，“数字化地球”，“系统就是网络、网络就是系统” 1.世界网络化 世界缩小，时空缩小，高科技社会中，高科技技术的应用与高技术犯罪并存.,第一节 计算机网络安全的概念,网络安全,2.系统开放性 分散和分布式计算环境基于开放性技术，但开放不是公开开放性与安全性的矛盾和对抗，系统开放与系统保密成为矛盾中的统一。 3.信息共享、资源共享 共享的概念，不是所有信息都共享 信息是有价值的，有价信息的拥有权 敏感信息、私有信息与垃圾信息,第一节 计算机网络安全的概念,网络系统设计的原则： 用户 应用 软件 硬件 需求 方案 平台 平台 * 实用性 * 可靠性 * 先进性 * 高安全性 * 开放性 * 经济性 * 可扩充性 * 易维护性,网络安全,第一节 计算机网络安全的概念,网络安全,全球通讯均遭英美操纵的监察系统截查英美合作截查全球通讯，截听长话，利用声音辨认系统监听目标人物的对话内容。情报处理系统从军事监察扩展至非军事用途，对政府、商业及其他机构进行例行及非选择性的监察。 由于大部分互联网服务器都分布在美国或必须途经美国分布信息，因此，大部分透过互联网发放的国际通讯或信息都以美国为交汇点，随时可能受到美国国家安全局截查。,第一节 计算机网络安全的概念,网络安全,美国每年平均发生了数十万起重大的网络入侵和恶意攻击事件，其中约十分之一的攻击成功地侵入了系统（美联邦调查局统计），因此每年造成平均上百亿美元的经济损失。 网络入侵问题是困扰所有网络专家、信息专家和计算机安全专家们的重要的问题，网络入侵包含了很多技术问题、管理问题和应用问题，其中，网络中断、非法访问、信息窃取、数据篡改、信息侦察等频繁发生在当前网络应用中，“黑客”技术在不知不觉中被正常地和非正常地使用。,第一节 计算机网络安全的概念,网络安全,三、网络的入侵者 * 黑客(Hacker)： 网络入侵者通称“黑客”，公众对这个字眼带有强烈的贬意和否定，其实黑客的原意是泛指对任何计算机系统、操作系统、网络系统的奥秘都具有强烈兴趣的人。他们大部分都具有计算机操作系统和编程语言方面的高级知识，了解系统中的漏洞及其原因，他们不断追求新的、更深的知识和技术，并公开他们的发现，与其他人分享，他们自己宣称决不、也从来没有破坏数据的企图。,第一节 计算机网络安全的概念,网络安全,恶意黑客（骇客）渗入计算机系统和网络系统并获取其内部工作的情况和知识，非法访问、寻找、窃取资源和信息。恶意黑客会有目的的篡改系统数据和资源，修改系统配置，甚至远程控制目标系统。,第一节 计算机网络安全的概念,网络安全,* 窃客(Phreaker)： 即“电信黑客”或“电信窃客”。他们与网络黑客不同，主要与电话公司打交道。采用不同的种种“手段”和“诡计”，如拦截传输信号，从而操纵电话公司，并机盗打用户移动电话，免费拨打区域和长途电话等。并从电信网站、电信传输和用户通信中某利，获取所需敏感信息。,第一节 计算机网络安全的概念,网络安全,* 怪客(Cracker)： 网络上的匿名攻击者，专门进行网络入侵攻击，发布干扰信息， 传输网络垃圾等,并以此为乐。,第一节 计算机网络安全的概念,网络安全,“黑客”与“黑客技术”目前带有贬意，实际上在计算机安全的领域内，国外对计算机和网络“黑客”的看法，也有两种观点。 1）“黑客”是非法使用计算机系统和网络系统的人，会给网络安全带来极大影响。 2）“黑客”是一群计算机迷，他们以查找网络和系统缺陷为荣，有利于网络安全的。 我们认为，基于信息对抗、计算机对抗的基础，我们必须既要防御非法“黑客”的攻击，也要研究和利用“黑客”技术来维护网络安全，不断地发现网络的漏洞，不断地改进安全系统。,第一节 计算机网络安全的概念,网络安全,四、网络犯罪特点 网络犯罪与传统犯罪有很多不同，网络犯罪有如下一些特点： 网络犯罪高技术化、专业化。 犯罪者具有高智商，熟悉并掌握电脑技术、电信技术或者网络技术，了解电子数据资料结构和数据库，作案手段复杂隐蔽，有的情况下使正常操作与犯罪活动很难区分。,第一节 计算机网络安全的概念,网络安全, 网络犯罪动机复杂化。 它既包含了传统犯罪中的谋财害命、发泄报复、恐怖暴力、欺诈拐骗等，还渗入了更深厚的政治、军事、经济、宗教色彩。,第一节 计算机网络安全的概念,网络安全, 网络犯罪的覆盖面更广，日趋国际化。 利用网络的互联，缩短了时间和空间，犯罪分子在作案、通信、交易、逃匿等方面可以易地进行 异地作案的可能性极大，使得作案隐蔽性更强，危害更大。,第一节 计算机网络安全的概念,网络安全, 网络犯罪人员趋于年青化。 调查统计，电脑犯罪者的平均年龄约在25岁左右。青年人聪明好动、虚荣心大、探索意识强，但也最容易在网络上掉入网络陷阱，受到邪恶引诱而误入歧途。,第一节 计算机网络安全的概念,网络安全, 网络犯罪的形式多样化。 它既具有传统犯罪中的各种形式，还包含了更严重的犯罪教唆、展示、指导、引诱、服务等等。网络色情的泛滥、网络邪教的诱惑、没落文化和反动文化的泛起都威胁到整个网络世界。,第一节 计算机网络安全的概念,网络安全,五、网络安全的技术特点 1.资源共享与分布 是网络的主要目的，也是网络的脆弱性， 分布的广域性增大了受攻击的可能性，单机系统的安全控制已不足以保证网络全局的安全。 2.网络系统的复杂性 系统互连、控制分散、异构结点。任何一个结点的安全漏洞都可能导致整个系统的不安全，信息爆炸使存储和传输不堪重负；攻击的入口增多、破坏面增大、检测困难且开销很大。,第一节 计算机网络安全的概念,网络安全,3.安全的可信性 网络的可扩展性使网络边界具有不确定性；网络安全的可信性随网络扩展而下降；不可信结点、恶意结点的严重威胁 4. 安全不确定性 网络分支广，存在多条可能的安全漏洞；不安全的路径存在不确定性；故障定位的不确定性。,第一节 计算机网络安全的概念,网络安全,5. 信息安全的特殊性 信息的真实性，网络通信只保证了无差错传输，无法保证信息的真实性、完整性，收发双方无法对传输信息加以控制和监视。 6.网络安全的长期性 矛盾贯穿始终，长期对抗。不可能存在一劳永逸、绝对安全的系统安全策略和安全机制，安全的目标和安全策略，是在一定条件（环境与技术）下的合理性。,第一节 计算机网络安全的概念,网络安全,六、网络安全性范围 1. 网络类型 电信网络、电视网络、计算机网络，重点在计算机网络 2. 计算机网络的组成 计算机系统、通信系统、网络互连设备 系统运行平台、网络管理软件系统,第一节 计算机网络安全的概念,网络安全,3. 网络安全领域 计算机系统安全 系统硬件安全、存储系统安全、操作系统安全、软件安全 通信系统安全 通信系统与部件可靠性、无线与有线安全、网络互连设备安全。 网络系统安全 网管软件安全、网络协议安全性 网络运行环境安全、网络开发与应用安全,第一节 计算机网络安全的概念,网络安全, 计算机病毒与恶意程序 计算机病毒对抗、攻击与反攻击 网络安全的社会性 网络垃圾与信息垃圾、反动、色情、颓废文化。 信息安全与信息战,第一节 计算机网络安全的概念,网络安全,七、网络安全的类别 “网络就是计算机”，因此，计算机系统安全的几乎所有领域都在网络安全中得以体现。网络系统安全的主要威胁也来源于各个方面，有自然的、硬件的、软件的、也有人为的疏忽、失误等。一个没有设防的系统或者防御性不好的系统，对合法用户与非法用户实际上提供了同样的计算和通信能力，两者都直接面对系统信息资源。这样，合法用户将难以信赖系统的安全价值，产生了系统的可信度(trust) 问题。,第一节 计算机网络安全的概念,网络安全, 网络可信：保证网络可靠运行，防止系统崩溃，主要解决硬件故障和软件故障。 网络阻塞：主要解决网络配置、网络调度不合理，防止网络广播风暴和噪声。 网络滥用：合法用户超越权限使用计算机，获取网络资源。 网络入侵：非法用户非法进入系统和网络，获取控制权和网络资源。,第一节 计算机网络安全的概念,网络安全, 网络干扰：出于某种目的对计算机和网络系统运行进行干扰，干扰方式多种，使系统不可信、操作员和系统管理员心理压力增加、心理战。施放各种假的和期骗信息，扰乱社会、经济、金融等。 网络破坏: 系统攻击、删除数据、毁坏系统。非法窃取、盗用、复制系统文件、数据、资料、信息，造成泄密。,第一节 计算机网络安全的概念,网络安全,第二节 计算机网络实体安全,网络安全,组成计算机网络的硬件设备有计算机系统、通信交换设备（交换机、程控机）、网络互连设备（如收发器、中继器、集线器、网桥、路由器、网关等）、存储设备等，在网络系统集成中，它们的可靠性和安全性必须自始至终考虑。,网络安全,一、网络互连设备安全 必须注意互连设备及其工作层次物理层：中继器repeater，集线器hub数链层：网桥bridge，桥路器brouter 交换机switcher网络层：路由器router，路桥器roudger传输层：网关gateway，防火墙firewall,网络安全,1. 中继器及物理层的安全性 中继器作为一个双向放大器用于驱动长距离通信，只能用于连接具有相同物理层协议的局域网，主要用于扩充LAN电缆段(segment)的距离限制。它不具有安全功能，不具备任何过滤功能，不能隔离网段间不必要的网络流量和网络信息。,网络安全,2. 网桥及链路层的安全性 网桥通过数据链路层的逻辑链路子层(LLC)来选择子网路径，接收完全的链路层数据帧，并对帧作校验，同时，在源地址表中查找介质存取控制子层(MAC)的源和目的地址，以决定该帧是否转发或者丢弃。网桥通过存储转发功能实现信息帧交换，通过自学习功能建立源MAC地址表，从而在逻辑上分开网络段，减轻各个逻辑网段上的流量。,网络安全,网桥通过MAC地址判断选径，实现数据链路层上的数据分流，隔离功能较弱。安全性弱点在于可能导致广播风暴(broadcast storm)，如果一个帧的源地址是网桥未学习过的MAC地址，它会将该帧转发到它所连接的所有局域网上，从而产生大量的扩散帧。而且，它无法解决同一介质网络段上可能出现的具有不同IP子网号的主机之间的互访问题。,网络安全,3. 路由器及网络层的安全性 路由器完成网内地址选径，防止网内“广播风暴”的产生，也能实现不同或者相同局域网段上不同IP网号或者子网号主机间的互访，并提供远程互连。由于它涉及物理、数链、网络三个层次数据处理，处理时间长(延迟约100-500ms)，且价格昂贵。路由器的隔离功能强于网桥，通过自学习和人工设置方式对数据进行严格过滤。,网络安全,给网桥加上类似于路由器的隔离功能，使其能够阻拦网间不必要的信息交换，就可以防止广播风暴。将路由器的某些思想、实现方法用于网桥，就形成了所谓桥路器(brouter)，而将路由器内部对IP地址的操作改为对MAC地址的操作，就形成了所谓过滤网桥，也称路桥器。它通过信息过滤(避免无用信息广播传送)和权限设定(防止无权用户访问主网和其他网络资源)来增强安全性。,网络安全,4. 交换机及链路层的安全性 由于路由器的配置技术和管理技术较复杂，成本昂贵，数据处理时间延迟较大，在一定程度上降低了网络性能。此外，在局域网中使用路由器的局限性促进了交换式以太网技术的发展，导致了交换机对路由器的替换。交换机工作在数据链路层，可看作是网桥的硬件延伸，该层中数据交换在硬件中完成，因而可以实现比较高的交换速度。,网络安全,5. 网关及网络高层的安全性 网关并没有确定的实际产品，目前，安全重点研究的防火墙，实际就是一种带有不同过滤器的网关。（防火墙的问题见后）,计算机网络,二、互连中的接线方式 在通过网络线连接计算机和网络设备（HUB、交换机、路由器等）过程中，必须了解RJ45接口双绞线的连接方式和连接要求，否则，网络将不会连通。,计算机网络,1. 网卡直连方式 两台计算机联网最简单最经济的做法是通过二块网卡用双绞线直接连接。二块网卡不用HUB，用双绞线直接连接，两块网卡需要有RJ45接口，然后制作一条特殊的双绞线，直接把这条线插到两台机器的网卡上即可。,计算机网络,特殊双绞线的具体制作方法：将 RJ45一头的第一根线与第三根线调换，第二根线与第六根线调换，其它不变。第一个接头： 橙,橙白,绿,蓝白,蓝,绿白,棕,棕白第二个接头： 绿,绿白,橙,蓝白,蓝,橙白,棕,棕白即：1 - 3 2 - 6 3 - 1 4 - 4 5 - 5 6 - 2 7 - 78 - 8,2022/11/24,49,可编辑,计算机网络,2. 网线与设备连接方式 计算机联网首先必须决定网络连接结构，根据不同方式决定网络线的连接和是否交叉。,双绞线有两种接法：EIA/TIA 568B标准和EIA/TIA 568A标准。具体接法如下：,T568A线序 1 2 3 4 5 6 7 8 绿白 绿 橙白 蓝 蓝白 橙 棕白 棕 T568B线序 1 2 3 4 5 6 7 8 橙白 橙 绿白 蓝 蓝白 绿 棕白 棕 直通线：两头都按T568B线序标准连接。 交叉线：一头按T568A线序连接，一头按T568B线序连接。,网络安全,常用的连接方式（一）,网络进线,服务器,集线器,工作站,工作站,工作站,工作站,从网络进线到服务器一个网卡，从另一个网卡输出连接到Hub，连接线均为直接连接（正常接线）,网络安全,常用的连接方式（二）,网络进线,集线器,服务器,工作站,工作站,工作站,工作站,从网络进线到集线器入口，集线器到工作站，到服务器，连接线也均为直接连接（正常接线）,网络安全,常用的连接方式（三）,网络进线,交换机,集线器,工作站,工作站,工作站,工作站,从网络进线到服务器一个网卡连接线均为直接连接（正常接线），从交换机到集线器，网络连接连接线交叉,网络安全,第三节 计算机网络安全技术,网络安全,网络信息安全的关键技术 目前，网络信息安全的关键技术有： 1）常规安全技术 2）防火墙技术 3）数据加密技术 4）漏洞扫描技术 5）入侵检测技术,网络安全,一、常规安全技术 在通用计算机安全技术中所涉及到的几乎所有安全技术，都可以应用和集成到网络系统中，并根据网络的运行特点，尤其是网络的安全接入，改进和发展这些安全技术。 1)用户认证(authentication) 2)访问控制(authorization) 3)数据保密与完整性 4)管理审计(accounting),网络安全,二、防火墙技术 1、防火墙的概念 英特网防火墙是这样的（一组）系统，它能增强机构内部网络的安全性。用于加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取。 防火墙只是保护网络安全与保密的一种概念，并无严格的定义,一、防火墙概述,什么是防火墙(Firewall) ？,防火墙：在两个信任程度不同的网络之间设置的、用于加强访问控制的软硬件保护设施。,网络安全,防火墙应用在以下位置：保证对主机和应用安全访问；保证多种客户机和服务器的安全性；保护关键部门不受到来自内部的攻击、外部的攻击、为通过Internet与远程访问的雇员、客户、供应商提供安全通道。,防火墙的用途,1）作为“扼制点”，限制信息的进入或离开；2）防止侵入者接近并破坏你的内部设施；3）监视、记录、审查重要的业务流；4）实施网络地址转换，缓解地址短缺矛盾。防火墙只允许已授权的业务流通过，而且本身也应抵抗渗透攻击。建立防火墙必须全面考虑安全策略，否则形同虚设。,防火墙的局限性,1）防火墙防外不防内防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理，如主机安全和用户教育、管理、制度等。,2）不能防范绕过防火墙的攻击防火墙能够有效地防止通过它进行传输信息，然而不能防止不通过它而传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。3）防火墙配置复杂，容易出现安全漏洞4）防火墙往往只认机器（IP地址）不认人（用户身份），并且控制粒度较粗。,5）防火墙不能防范病毒防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。6）防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到内部网主机上并被执行而发起攻击时，就会发生数据驱动攻击。特别是随着Java、JavaScript、ActiveX的应用，这一问题更加突出。,允许,拒绝,防火墙设计政策,防火墙一般实施两个基本设计方针之一:1. “没有明确允许的都是被禁止的”，即拒绝一切未予特许的东西。2. “没有明确禁止的都是被允许的”；也即是允许一切未被特别拒绝的东西,允许,拒绝,网络安全,一般防火墙具备的特点(4点)： 广泛的服务支持，通过将动态的、应用层的过滤能力和认证相结合，可实现WWW浏览器、HTTP服务器、FTP等。 对私有数据的加密支持，保证通过Internet进行虚拟私人网络和商务活动不受损坏。 客户端认证只允许指定的用户访问内部网络或选择服务，是企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分。,网络安全,一般防火墙具备的特点: 反欺骗，欺骗是从外部获取网络访问权的常用手段，它使数据包好似来自网络内部。Firewall-1能监视这样的数据包并能扔掉它们；C/S 模式和跨平台支持，能使运行在一平台的管理模块控制运行在另一平台的监视模块。,防火墙应具有以下五大基本功能：过滤进出网络的数据包；管理进出网络的访问行为；封堵某些禁止的访问行为；记录通过防火墙的信息内容和活动；对网络攻击进行检测和告警。,2、防火墙的体系结构双宿/多宿主机模式 (dual-homed/multi-homed) 屏蔽主机模式 屏蔽子网模式,双宿/多宿主机模式,它是一种拥有两个或多个连接到不同网络上的网络接口的防火墙，通常用一台装有两块或多块网卡的堡垒主机做防火墙，两块或多块网卡各自与受保护网和外部网相连,Internet,堡垒主机,内部网2,多宿主机模式,内部网1,Internet,堡垒主机,内部网,屏蔽路由器,屏蔽主机模式,屏蔽主机防火墙由包过滤路由器和堡垒主机组成,屏蔽主机模式特点, 在这种方式的防火墙中，堡垒主机安装在内部网络上，通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络唯一可直接到达的主机，这确保了内部网络不受未被授权的外部用户的攻击。屏蔽主机防火墙实现了网络层和应用层的安全，因而比单独的包过滤或应用网关代理更安全。在这一方式下，过滤路由器是否配置正确是这种防火墙安全与否的关键，如果路由表遭到破坏，堡垒主机就可能被越过，使内部网完全暴露。,屏蔽子网模式, 采用了两个包过滤路由器和一个堡垒主机，在内外网络之间建立了一个被隔离的子网，定义为“非军事区（de-militarized zone）”网络，有时也称作周边网(perimeter network),周边网络,屏蔽子网模式,Internet,堡垒主机,内部网,外部路由器,内部路由器,屏蔽子网模式特点, 网络管理员将堡垒主机，WEB服务器、Mail服务器等公用服务器放在非军事区网络中。内部网络和外部网络均可访问屏蔽子网，但禁止它们穿过屏蔽子网通信。在这一配置中，即使堡垒主机被入侵者控制，内部网仍受到内部包过滤路由器的保护。 堡垒主机运行各种代理服务,周边网络的作用对于周边网络，如果某人侵入周边网上的堡垒主机，他仅能探听到周边网上的通信。因为所有周边网上的通信来自或者通往堡垒主机或Internet。因为没有严格的内部通信(即在两台内部主机之间的通信，这通常是敏感的或者专有的)能越过周边网。所以，如果堡垒主机被损害，内部的通信仍将是安全的。,堡垒主机接受来自外界连接的主要入口：1对于进来的电子邮件（SMTP）会话，传送电子邮件到站点；2对于进来的FTP连接，转接到站点的匿名FTP服务器；3对于进来的域名服务（DNS）站点查询等。,网络安全,2、 防火墙技术： 链路层技术、网络层技术、应用层技术； 产品实施中技术具有双重或者多重性 包过滤(packet filter) 应用代理(app-proxy) 状态检测技术,包过滤技术的原理,包过滤技术,在路由器上加入IP Filtering 功能，这样的路由器就成为Screening Router 。Router逐一审查每个数据包以判定它是否与其它包过滤规则相匹配(只检查包头，不理会包内的正文信息)。 如果找到一个匹配，且规则允许这包，这个包则根据路由表中的信息前行；如果找到一个匹配，且规则允许拒绝此包，这一包则被舍弃；如果无匹配规则，一个用户配置的缺省参数将决定此包是前行还是被舍弃。,代理服务技术,代理服务,该技术它能够将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的连接，由两个代理服务器之间的连接来实现，外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用。此外，代理服务器也对过往的数据包进行分析、记录、形成报告，当发现攻击迹象时会向网络管理员发出警告，并保留攻击痕迹。,状态检测技术 在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。,用户眼中的代理,免费代理出现原因：系统漏洞；管理员设置的代理；ISP提高影响，在一段时间内开发的代理。代理服务器的设置IE中：工具Internet选项连接局域网设置,网络安全,3、防火墙的功能要求 管理界面良好，配置容易、方便、安全，易于配置管理和监控 病毒自动扫描，堵截非法URL和Java过滤 进行用户验证，防止网络攻击 具有多协议适应性 防止基于协议的攻击 测试方便,网络安全,2）防火墙选择 具有标准的防火墙特性 实际的用户安全需求（如安全级别、用户数、代理权、过滤和容错、价格等） 可信的系统集成商 与单机操作系统无缝连接，克服弱点 必要的防火墙产品测试 综合安全手段与整体安全性能（如员工素质、专网连接、关键密码等）,网络安全,3）防火墙产品 CheckPoint Firewall-1 4.0 AXENT Raptor CyberGuard Firewall Secure Computing SecureZone Cisco PIX Firewall 520 Netscreen Netscreen-100 NetGuard Guardian 3.0,网络安全,4、防火墙系统 路由器+防火墙路由器：具备基于网络层的存取控制方法，可以对IP包的源/目的地址及端口号作出存取控制的决定。防火墙：基于应用层的代理服务器主机。存在于两个网络中间，不允许直接数据传输，有较大的Cache,可以做详细的日志及审计，对节省流量、计费、安全都提供了一定的功能。,网络安全,三、漏洞扫描技术 自动检测远端或者本地主机安全脆弱点，查询TCP/IP端口，记录目标响应，收集信息。 使用：安全扫描程序，如：NSS、Strobe、SATAN、Ballista、Jakal、IdentTCPscan、Ogre、XScan、FSPScan等,网络安全,四、入侵检测技术 对计算机和网络资源上的恶意行为进行识别和响应的处理过程。 不仅检测来自外部的入侵行为，也检测内部的非授权行为（滥用）。 检测方法包括基于行为的和基于知识的两类系统。实施针对系统日志和网络数据包。,Windows操作系统 常用网络命令使用技巧详解,一、Ping命令的使用技巧Ping是个使用频率极高的实用程序，用于确定本地主机是否能与另一台主机交换（发送与接收）数据报。根据返回的信息，我们就可以推断TCP/IP参数是否设置得正确以及运行是否正常。需要注意的是：成功地与另一台主机进行一次或两次数 据报交换并不表示TCP/IP配置就是正确的，我们必须执行大量的本地主机与远程主机的数据报交换，才能确信TCP/IP的正确性。,Ping命令的常用参数选项,ing IP t连续对IP地址执行Ping命令，直到被用户以Ctrl+C中断。ping IP -l 3000指定Ping命令中的数据长度为3000字节，而不是缺省的32字节。ping IP n执行特定次数的Ping命令。,Netstat 命令的使用技巧,Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，一般用于检验本机各端口的网络连接情况。如果我们的计算机有时候接受到的数据报会导致出错数据删除或故障，TCP/IP可以容许这些类型的错误，并能够自动重发数据报。但如果累计的出错情况数目占到所接收的IP数据报相当大的百分比，或者它的数目正迅速增加，那么我们就应该使用Netstat查一查为什么会出现这些情况了。,当前计算机开放许多端口,状态为:”LISTENING”表示某端口正在监听,还没有和其他计算机建立连接.“ESTABLISHED”表示正在和某计算机进行通信,并将通信计算机的IP和端口号显示出来.,Netstat的妙用,经常上网的人一般都使用ICQ的，不知道我们有没有被一些讨厌的人骚扰，想投诉却又不知从和下手？但怎样才能通过ICQ知道对方的IP呢？如果对方在设置ICQ时选择了不显示IP地址，那我们是无法在信息栏中看到的。其实，我们只需要通过Netstat就可以很方便的做到这一点：当他通过ICQ或其他的工具与我们相连时（例如我们给他发一条ICQ信息或他给我们发一条信息），我们立刻在DOS 命令提示符下输入netstat -n或netstat -a就可以看到对方上网时所用的IP或ISP域名了，甚至连所用Port都完全暴露了。,2022/11/24,96,可编辑,